等保2.0新标准解读

5月13日下午，国家标准新闻发布会在市场监管总局马甸办公区新闻发布厅召开，网络安全等级保护制度2.0标准正式发布，包括网络安全等级保护的基本要求、测评要求、安全设计技术要求三个部分，实施时间为2019年12月1日。

《网络安全法》出台后，等级保护进入2.0时代，这意味着2007年四部门建立的“信息安全等级保护体系”已全面升级到“网络安全等级保护2.0体系”。网络安全等级保护是国家网络安全保障的基本制度、基本策略、基本方法。开展网络安全等级保护工作是保护信息化发展、维护网络安全的根本保障，是网络安全保障工作中国家意志的提现。

网络安全等级保护虽然依旧按照定级、备案、建设整改、等级测评、监督检查等五个阶段进行，同时，等级保护的“五个等级”及“主体职责”没有变化。但是，等保2.0已经从法规条例“国务院147号令”上升到《网络安全法》的法律层面；《网络安全法》第二十一条要求，国家实施网络安全等级保护制度；第二十五条要求，网络运营者应当制定网络安全事件应急预案； 第三十一条则要求，关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护；第五十九条明确了，网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的，由有关主管部门给予处罚。

总而言之，等保2.0实施后，不开展等级保护等于违反《网络安全法》，可以根据法律规定进行处罚。

传统等级保护（暂时叫等保1.0）主要强调物理安全、主机安全、网络安全、应用安全、数据安全及备份恢复等通用要求，而等保2.0标准在对等保1.0标准基本要求进行优化的同时，针对云计算、物联网、移动互联网、工业控制、大数据新技术提出了新的安全扩展要求。也就是说，使用新技术的信息系统需要同时满足“通用要求 安全扩展”的要求。并且，针对新的安全形势提出了新的安全要求，标准覆盖度更加全面，安全防护能力有很大提升。

通用要求方面，等保2.0标准的核心是“优化”。删除了过时的测评项，对测评项进行合理性改写，新增对新型网络攻击行为防护和个人信息保护等新要求，调整了标准结构、将安全管理中心从管理层面提升至技术层面。

例如：

1）云计算扩展要求

云计算技术的普及，解决了传统数据中心的存储难、资源占用大、成本高等问题，伴随而来安全风险也非常尖锐，主要来自于系统和数据所有权的转移，新技术、虚拟环境等新模式两方面带来的风险。等保2.0标准从原则性、自身防护、提供能力三方面提出了要求：

原则性要求：

应确保云计算平台不承载高于其安全保护等级的业务应用系统；应确保云计算基础设施位于中国境内；应确保云服务客户数据、用户个人信息等存储于中国境内，如需出境应遵循国家相关规定等。

自身防护要求：

应能检测到云服务客户发起的网络攻击行为，并能记录攻击类型、攻击时间、攻击流量等；应能检测虚拟机之间的资源隔离失效，并进行告警等。

提供能力要求：

应实现不同云服务客户虚拟网络之间的隔离；应具有根据云服务客户业务需求提供通信传输、边界防护、入侵防范等安全机制的能力等。

2）大数据扩展要求

管理流量与业务流量分离

大数据授权与分类分级管理

大数据层面入侵防范与告警

大数据应用安全管理

3）物联网扩展要求

网络安全入侵防范与认证授权

感知节点设备安全

非法感知节点设备识别与防范

抗数据重放，数据融合处理 

感知节点管理

4）工业控制扩展要求

工业控制系统隔离与安全区域划分

工业控制数据加密传输

工业无线通信安全

工业控制设备自身安全

工业安全运维管理

5）移动互联扩展要求

无线边界控制与入侵防范

SSID广播与WEP认证

MDM、MCM管理

移动端应用安全管控

移动端数据安全管控

      由于在“等保2.0”新标准中，每一级除通用要求外，均还新增了云计算安全、移动互联安全、物联网安全、工业控制系统安全和大数据安全这5个扩展要求，以应对新兴技术安全需求。

      所以，相比“等保1.0”将定级对象统一定义为信息系统，等保2.0标准的定级的对象扩展至：基础信息网络、工业控制系统、云计算平台、物联网、使用移动互联技术的网络、其他网络以及大数据等多个系统平台，覆盖面更广。同时针对定级对象的具体范围根据扩展要求进行了细化：

云计算平台方面：定级对象将区分为服务的提供方和租户方；

物联网方面：感知、网络传输和处理应用等特征因素不单独定级，将作为一个整体进行评定；

移动互联方面：移动终端、移动应用、无线网络、相关有线网络业务系统等也将统一定级；

大数据方面：安全责任主体相同的平台和应用将整体定级，除此之外为单独定级。

网络运营者在实施定级工作时，首先应当确定自身作为定级对象满足的基本特征，若从事基础信息网络、工控系统、云计算、物联网、大数据等特定领域服务的，还应符合相应的要求。 

需要注意的是定级级别的变化：公民、法人和其他组织的合法权益产生特别严重损害时，相应系统的等级保护级别从等保1.0的第二级调整到了第三级。

等保2.0标准依然采用“一个中心、三重防护” 的理念，引入了“可信”、“安全运维”和“安全管理中心”三个新概念。可信计算是在计算和通信系统中广泛使用基于硬件安全模块支持下的可信计算平台，以提高系统整体的安全性，强化了可信计算，充分体现一个中心、三重防御的思想，完成了从等保1.0标准被动防御的安全体系向事前预防、事中响应、事后审计的动态保障体系转变。

同时，建立安全技术体系和安全管理体系，构建具备相应等级安全保护能力的网络安全综合防御体系，开展组织管理、机制建设、安全规划、通报预警、应急处置、态势感知、能力建设、监督检查、技术检测、队伍建设、教育培训和经费保障等工作 。

等级保护安全框架图

网络安全等级保护安全技术设计框架

等保1.0与等保2.0对比图

等保2.0结构变化图

相较于等保1.0，等保2.0标准测评周期、测评结果评定有所调整。等保2.0标准要求，第三级以上的系统每年开展一次测评，测评达到75分以上才算基本符合要求。基本分高了，要求更严苛了。

测评要求项的变化